Che cos'è Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) fornisce servizi di dominio gestiti, ad esempio l'aggiunta a un dominio, criteri di gruppo, LDAP (Lightweight Directory Access Protocol) e l'autenticazione Kerberos/NTLM. È possibile usare questi servizi di dominio senza dover distribuire, gestire e applicare patch ai controller di dominio nel cloud.

Un dominio gestito di Azure AD DS consente di eseguire applicazioni legacy nel cloud che non possono usare metodi di autenticazione moderni o in cui non si vuole che le ricerche nelle directory tornino sempre a un ambiente Active Directory Domain Services locale. È possibile trasferire in modalità lift-and-shift tali applicazioni legacy dall'ambiente locale a un dominio gestito, senza dover gestire l'ambiente Active Directory Domain Services nel cloud.

Azure AD DS si integra con il tenant di Azure AD esistente. Questa integrazione consente agli utenti di accedere a servizi e applicazioni connessi al dominio gestito usando le credenziali esistenti. Per proteggere l'accesso alle risorse, è anche possibile usare gruppi e account utente esistenti. Queste funzionalità consentono un trasferimento in modalità lift-and-shift più agevole delle risorse locali in Azure.

Guarda il nostro breve video per altre informazioni su Azure AD DS.

Come funziona Azure Active Directory Domain Services?

Quando si crea un dominio gestito di Azure AD DS, si definisce uno spazio dei nomi univoco. Questo spazio dei nomi è il nome di dominio, ad esempio aaddscontoso.com. Due controller di dominio Windows Server vengono quindi distribuiti nell'area di Azure selezionata. Questa distribuzione di controller di dominio è nota come set di repliche.

Non è necessario gestire, configurare o aggiornare questi controller di dominio. La piattaforma Azure gestisce i controller di dominio come parte del dominio gestito, inclusi i backup e la crittografia dei dati inattivi tramite Crittografia dischi di Azure.

Un dominio gestito è configurato in modo da eseguire una sincronizzazione unidirezionale da Azure AD per consentire l'accesso a un set centrale di utenti, gruppi e credenziali. È possibile creare risorse direttamente nel dominio gestito, ma queste non vengono risincronizzate con Azure AD. Le applicazioni, i servizi e le macchine virtuali in Azure che si connettono al dominio gestito possono quindi usare funzionalità comuni di Active Directory Domain Services, ad esempio aggiunta a un dominio, criteri di gruppo, LDAP e autenticazione Kerberos/NTLM.

In un ambiente ibrido con un ambiente Active Directory Domain Services locale, Azure AD Connect sincronizza le informazioni sulle identità con Azure AD e quindi con il dominio gestito.

Synchronization in Azure AD Domain Services with Azure AD and on-premises AD DS using AD Connect

Azure AD DS replica le informazioni relative alle identità da Azure AD e usa quindi tenant di Azure AD solo cloud o sincronizzati con un ambiente di Azure Active Directory Domain Services locale. Lo stesso set di funzionalità di Azure Active Directory Domain Services è disponibile per entrambi gli ambienti.

  • Se è già presente un ambiente di Active Directory Domain Services locale, è possibile sincronizzare le informazioni degli account utente per fornire agli utenti un'identità coerente. Per altre informazioni, vedere Sincronizzazione di oggetti e credenziali in un dominio gestito.
  • Per gli ambienti solo cloud, non è necessario un ambiente di Active Directory Domain Services locale tradizionale per usare i servizi di gestione delle identità centralizzati di Azure Active Directory Domain Services.

È possibile espandere un dominio gestito in modo che ogni tenant di Azure AD contenga più di un set di repliche. È possibile aggiungere i set di repliche a qualsiasi rete virtuale con peering in qualsiasi area di Azure che supporti Azure AD DS. I set di replica aggiuntivi in aree di Azure diverse forniscono il ripristino di emergenza geografico per le applicazioni legacy se un'area di Azure passa offline. Per altre informazioni, vedere Concetti e funzionalità dei set di repliche per i domini gestiti.

Guardare questo video su come Azure AD DS si integra con le applicazioni e i carichi di lavoro per fornire servizi di gestione delle identità nel cloud:


Per informazioni sul funzionamento degli scenari di distribuzione di Azure AD DS, è possibile esaminare gli esempi seguenti:

Funzionalità e vantaggi di Azure Active Directory Domain Services

Per fornire servizi di gestione delle identità ad applicazioni e macchine virtuali nel cloud, Azure Active Directory Domain Services è completamente compatibile con un ambiente di Active Directory Domain Services tradizionale per operazioni come l'aggiunta a un dominio, LDAP sicuro (LDAPS), Criteri di gruppo, Gestione DNS e il supporto per la lettura e il binding LDAP. Il supporto per la scrittura LDAP è disponibile per gli oggetti creati nel dominio gestito, ma non per le risorse sincronizzate da Azure AD.

Per altre informazioni sulle opzioni per le identità, confrontare Azure AD DS con Azure AD, Active Directory Domain Services in VM di Azure e Active Directory Domain Services in locale.

Le funzionalità di Azure Active Directory Domain Services descritte di seguito semplificano le operazioni di distribuzione e gestione:

  • Esperienza di distribuzione semplificata: Azure Active Directory Domain Services viene abilitato per il tenant di Azure AD tramite una singola procedura guidata nel portale di Azure.
  • Integrazione con Azure AD: gli account utente, le appartenenze ai gruppi e le credenziali sono automaticamente disponibili dal tenant di Azure AD. I nuovi utenti, i gruppi o le modifiche relative agli attributi dal tenant di Azure AD o dall'ambiente di Active Directory Domain Services locale vengono sincronizzati automaticamente in Azure Active Directory Domain Services.
    • Gli account in directory esterne collegate all'istanza di Azure AD non sono disponibili in Azure Active Directory Domain Services. Le credenziali non sono disponibili per tali directory esterne e quindi non possono essere sincronizzate in un dominio gestito.
  • Usare le credenziali e/o le password aziendali: le password degli utenti in Azure AD DS sono uguali a quelle del tenant Azure AD. Gli utenti possono usare le credenziali aziendali per aggiungere computer al dominio, effettuare l'accesso in modo interattivo o tramite desktop remoto e autenticarsi nel dominio gestito.
  • Autenticazione NTLM e Kerberos: con il supporto per l'autenticazione NTLM e Kerberos, è possibile distribuire applicazioni basate sull'autenticazione integrata di Windows.
  • Disponibilità elevata: Azure Active Directory Domain Services include più controller di dominio, che garantiscono la disponibilità elevata per il dominio gestito, con conseguenti vantaggi in termini di tempo di attività del servizio e resilienza agli errori.
    • Nelle aree in cui sono supportate le zone di disponibilità di Azure, questi controller di dominio vengono distribuiti anche tra le zone per una maggiore resilienza.
    • È anche possibile usare set di replica per offrire il ripristino di emergenza geografico di applicazioni legacy se un'area di Azure passa in modalità offline.

Ecco alcuni aspetti chiave di un dominio gestito:

  • Il dominio gestito rappresenta un dominio autonomo. Non è un'estensione di un dominio locale.
  • Il team IT non deve gestire, applicare patch o monitorare i controller di dominio per il dominio gestito.

Per gli ambienti ibridi che eseguono Active Directory Domain Services in locale, non è necessario gestire la replica di Active Directory nel dominio gestito. Gli account utente, le appartenenze ai gruppi e le credenziali della directory locale vengono sincronizzati in Azure AD tramite Azure AD Connect. Gli account utente, le appartenenze ai gruppi e le credenziali sono automaticamente disponibili all'interno del dominio gestito.

Passaggi successivi

Per altre informazioni sul confronto tra Azure Active Directory Domain Services e altre soluzioni di gestione delle identità e sulla modalità di funzionamento della sincronizzazione, vedere gli articoli seguenti:

Per iniziare, creare un dominio gestito usando il portale di Azure.